grok默认表达式
Logstash 内置了120种默认表达式,可以查看patterns,里面对表达式做了分组,每个文件为一组,文件内部有对应的表达式模式。下面只是部分常用的。
日期时间表达式
自定义grok表达式
语法解释:
%{HOSTNAME},匹配请求的主机名
%{TIMESTAMP_ISO8601:time},代表时间戳
%{LOGLEVEL},代表日志级别
%{URIPATHPARAM},代表请求路径
%{INT},代表字符串整数数字大小
%{NUMBER}, 可以匹配整数或者小数
%{UUID},匹配类似091ece39-5444-44a1-9f1e-019a17286b48
%{IP}, 匹配ip
%{WORD}, 匹配请求的方式
%{GREEDYDATA},匹配所有剩余的数据
(?([S+])),自定义正则 Grok 教程
s或者s+,代表多个空格
S+或者S*,代表多个字符
大括号里面:xxx,相当于起别名
(?
([S+]*)), 自定义正则匹配多个字符
举例操作如下:
grok调试如下:
[%{TIMESTAMP_ISO8601:time}]s*%{DATA:thread}s*[%{LOGLEVEL:level}]s*%{GREEDYDATA:data}
列2:
2019-09-12 14:16:36.320+08:00 INFO f7-c78f-4f12-a0f1-83a2610b2dfc DispatcherConnector ip-192-168-114-244 [Mqtt-Device-1883-worker-18-1] com.ericsson.sep.dispatcher.api.transformer.v1.MessageTransformer {“TraceID”:“f7-c78f-4f12-a0f1-83a2610b2dfc”,“clientId”:“03466K4GA1059”,“username”:“LB37622Z3KX”}
%{TIMESTAMP_ISO8601:access_time}s*%{LOGLEVEL:level}s*%{UUID:uuid}s*%{WORD:word}s*%{HOSTNAME:hostname}s*[%{DATA:work}]s*(?([S+]))s(?([S+]))s%{GREEDYDATA:message_data}
列3:
192.168.125.138 – – [12/Sep/2019:14:10:58 +0800] “GET /backend/services/ticketRemind/query?cid=&msgType=1&pageSize=100&pageIndex=1&langCode=zh HTTP/1.1” 200 91
grok调试如下:
%{IP:ip}s*%{DATA:a}s*[%{HTTPDATE:access_time}]s*%{DATA:b}%{WORD:method}s*%{URIPATH:url}%{URIPARAM:param}s*%{URIPROTO:uri}%{DATA:c}%{NUMBER:treaty}%{DATA:d}s*%{NUMBER:status}s*%{NUMBER:latency_millis}
列4:
[08/Nov/2019:11:40:24 +0800] tc-com.g-netlink.net – – 192.168.122.58 192.168.122.58 192.168.125.135 80 GET 200 /geelyTCAccess/tcservices/capability/L6T7944Z0JN ?pageIndex=1&pageSize=2000&vehicleType=0 21067 17
grok调试如下:
[%{HTTPDATE:access_time}] %{DATA:hostname} %{DATA:username} %{DATA:fwd_for} %{DATA:remote_hostname} %{IP:remote_ip} %{IP:local_ip} %{NUMBER:local_port} %{DATA:method} %{DATA:status} %{DATA:uri} %{DATA:query} %{NUMBER:bytes} %{NUMBER:latency_ms}
附上辅助调试grok的网址http://grok.51vagaa.com/
发布者:Ai探索者,转载请注明出处:https://javaforall.net/243854.html原文链接:https://javaforall.net
